Informativa sul trattamento dei dati personali

ai sensi degli articoli 13 e 14 del Regolamento (UE) 2016/679 ("GDPR") e del D.Lgs. 30 giugno 2003, n. 196 (Codice Privacy)

1. Titolare del trattamento

Il Titolare del trattamento dei dati personali raccolti attraverso il sito web e la piattaforma RGPD manager è:

IT Business S.r.l.
Via Savoia 80, 00198 Roma (RM)
P.IVA / C.F.: 06524561005
E-mail: info@rgpdmanager.it

(di seguito, il "Titolare").

2. Ambito di applicazione dell'informativa

La presente informativa descrive le modalità di trattamento dei dati personali degli utenti che si registrano, navigano e utilizzano la piattaforma RGPD manager.

Essa si applica esclusivamente ai dati personali raccolti dal Titolare per:

  • la gestione degli account utente;
  • l'erogazione del servizio SaaS;
  • la sicurezza della piattaforma;
  • le attività di supporto e assistenza.

Per quanto concerne i cookie e gli altri strumenti di tracciamento, si rinvia alla Cookie Policy disponibile sul sito, implementata tramite la piattaforma CookieYes.

3. Dati personali trattati

Il Titolare tratta le seguenti categorie di dati personali:

  • dati identificativi e anagrafici: nome, cognome;
  • dati di contatto: indirizzo e-mail;
  • credenziali di autenticazione: username e password;
  • dati organizzativi: organizzazione/azienda di appartenenza, ruolo o funzione;
  • dati di navigazione e utilizzo: indirizzo IP, data e ora di accesso, pagine visitate, azioni compiute all'interno della piattaforma, durata della sessione;
  • log di sistema e di sicurezza: registri di accesso, tentativi di autenticazione, eventi di sicurezza;
  • dati contenuti nelle richieste di assistenza: informazioni volontariamente fornite dall'utente attraverso i canali di supporto tecnico.

Il Titolare non tratta dati personali appartenenti a categorie particolari (ex art. 9 GDPR, cd. "dati sensibili") relativi agli utenti registrati, salvo che tali dati vengano volontariamente caricati dagli stessi nella piattaforma per conto delle organizzazioni clienti (si veda il punto 5).

4. Finalità del trattamento e base giuridica

Finalità Base giuridica
A) Registrazione e gestione dell'account: creazione, autenticazione, gestione delle credenziali, comunicazioni relative al servizio. Esecuzione di misure precontrattuali e contrattuali (art. 6, par. 1, lett. b) GDPR).
B) Erogazione dei servizi della piattaforma: messa a disposizione delle funzionalità di RGPD manager per la gestione della conformità normativa. Esecuzione del contratto (art. 6, par. 1, lett. b) GDPR).
C) Assistenza tecnica e supporto operativo: segnalazioni e risposta alle richieste dell'utente. Esecuzione del contratto (art. 6, par. 1, lett. b) GDPR).
D) Sicurezza informatica e prevenzione degli abusi: monitoraggio dei sistemi, rilevazione di intrusioni, prevenzione di accessi non autorizzati, gestione di incidenti di sicurezza. Legittimo interesse del Titolare (art. 6, par. 1, lett. f) GDPR).
E) Adempimento di obblighi legali e normativi: ottemperanza a richieste dell'Autorità Giudiziaria, del Garante per la protezione dei dati personali o di altre Autorità competenti. Obbligo legale (art. 6, par. 1, lett. c) GDPR).
F) Attività di miglioramento e analisi aggregate (esclusivamente su dati resi anonimi e non riconducibili alla singola persona). Legittimo interesse del Titolare (art. 6, par. 1, lett. f) GDPR), previa adozione di adeguate misure di anonimizzazione.

Il Titolare non utilizza i dati personali per finalità di marketing diretto o profilazione commerciale senza il preventivo consenso esplicito dell'interessato, che ove necessario verrà richiesto con apposita modulistica separata.

5. Trattamenti effettuati per conto delle organizzazioni clienti

IT Business S.r.l. è proprietaria e gestore della piattaforma RGPD manager.

Con riferimento ai dati di registrazione e gestione degli account (nome, email, credenziali, log, ecc.), IT Business S.r.l. opera in qualità di Titolare del trattamento ai sensi dell'art. 4, n. 7 del GDPR.

Con riferimento ai dati personali eventualmente inseriti, caricati o elaborati all'interno della piattaforma dagli utenti per conto delle organizzazioni clienti (es. registri delle attività di trattamento, valutazioni d'impatto, elenchi di dipendenti o contatti), valgono le seguenti distinzioni:

  • l'organizzazione cliente mantiene il ruolo di Titolare del trattamento;
  • il consulente/incaricato opera secondo le autorizzazioni e le istruzioni ricevute dal Titolare (organizzazione cliente);
  • IT Business S.r.l., in qualità di fornitore della piattaforma, opera come Responsabile del trattamento ai sensi dell'art. 28 del GDPR. In tale veste, IT Business S.r.l.:
    • tratta i dati esclusivamente per finalità di erogazione del servizio, manutenzione, backup, sicurezza informatica, continuità operativa e gestione dell'infrastruttura tecnologica;
    • non utilizza tali dati per finalità proprie;
    • non li comunica a terzi se non per l'esecuzione del servizio, per obblighi di legge o per esigenze di sicurezza debitamente documentate.

I rapporti tra IT Business S.r.l. e le organizzazioni clienti sono disciplinati da un apposito Accordo di nomina a Responsabile del trattamento (art. 28 GDPR), disponibile su richiesta.

6. Natura del conferimento e conseguenze del mancato conferimento

Il conferimento dei dati contrassegnati come obbligatori in fase di registrazione è necessario per la creazione dell'account e per l'utilizzo della piattaforma.

L'eventuale rifiuto di fornire tali dati comporta l'impossibilità di completare la registrazione e, di conseguenza, di accedere ai servizi offerti.

Il conferimento di ulteriori dati facoltativi (es. informazioni aggiuntive in fase di assistenza tecnica) è libero e non preclude l'utilizzo delle funzionalità principali.

7. Modalità del trattamento e misure di sicurezza

Il trattamento viene effettuato con strumenti elettronici e informatici, nel rispetto dei principi di liceità, correttezza, trasparenza, minimizzazione e integrità di cui all'art. 5 GDPR.

Il Titolare adotta le seguenti misure tecniche e organizzative minime:

  • sistemi di autenticazione forte (password policy rigorosa, obbligo di abilitazione dell'autenticazione a due fattori – 2FA);
  • gestione degli accessi in base al principio del "need-to-know" e segregazione dei ruoli;
  • backup ridondanti, conservati in ambienti geograficamente separati.

8. Destinatari dei dati e categorie di soggetti autorizzati

I dati personali possono essere comunicati a:

  • dipendenti e collaboratori del Titolare, autorizzati al trattamento in base alle rispettive mansioni e debitamente formati;
  • fornitori di servizi cloud e hosting (sub-responsabili del trattamento), che forniscono l'infrastruttura tecnologica;
  • fornitori di servizi informatici e di manutenzione software;
  • consulenti e professionisti esterni (legali, fiscalisti, revisori) che assistono il Titolare in qualità di autonomi Titolari o Responsabili;
  • Autorità pubbliche, Forze dell'Ordine o Autorità Giudiziaria, ove la comunicazione sia obbligatoria per legge.

I soggetti terzi che operano in qualità di Responsabili del trattamento (art. 28 GDPR) sono vincolati da appositi contratti o atti giuridici che impongono le medesime garanzie di sicurezza richieste dal GDPR.

I dati non sono oggetto di diffusione (cioè non vengono resi noti a soggetti indeterminati).

9. Trasferimento dei dati verso Paesi terzi extra-UE

Alcuni fornitori utilizzati dal Titolare possono avere sede o server ubicati in Paesi non appartenenti allo Spazio Economico Europeo (SEE).

In tali casi, il Titolare garantisce che il trasferimento avvenga nel pieno rispetto degli artt. 44 e seguenti del GDPR, attraverso una delle seguenti garanzie:

  • Decisioni di adeguatezza della Commissione Europea (ai sensi dell'art. 45 GDPR), per i Paesi che offrono un livello di protezione equivalente;
  • Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea (ai sensi dell'art. 46, par. 2, lett. c) GDPR);
  • Eventuali misure suppletive di sicurezza, ove richieste dal contesto del trasferimento.

L'elenco aggiornato dei Paesi terzi coinvolti e delle relative garanzie è disponibile su richiesta scrivendo a info@rgpdmanager.it.

10. Periodo di conservazione dei dati

I dati personali sono conservati per il tempo strettamente necessario al perseguimento delle finalità per le quali sono stati raccolti, secondo i seguenti criteri specifici:

Tipologia di dato Periodo di conservazione
Dati dell'account utente (nome, email, credenziali, organizzazione) Per tutta la durata del rapporto contrattuale attivo. Alla cessazione del contratto, i dati saranno cancellati entro 30 giorni dalla richiesta dell'utente o dalla scadenza del contratto, salvo diversi obblighi di legge.
Dati di fatturazione e amministrativi 10 anni (come prescritto dalla normativa fiscale e civilistica italiana, art. 2220 c.c.).
Log di accesso e di sicurezza (IP, timestamp, eventi) 12 mesi dalla generazione del log, salvo che gli stessi non siano necessari per indagini su incidenti di sicurezza in corso (in tal caso, fino alla risoluzione dell'incidente).
Dati caricati nella piattaforma per conto delle organizzazioni clienti (art. 28 GDPR) Secondo le istruzioni impartite dal Titolare (organizzazione cliente); in assenza di istruzioni diverse, per la durata del contratto e successivamente cancellati, salvo obblighi di legge che ne impongano la conservazione.

Alla scadenza dei termini sopra indicati, i dati vengono cancellati in modo sicuro o resi anonimi in via permanente.

11. Diritti dell'interessato (artt. 15-22 GDPR)

L'interessato ha il diritto di esercitare in qualsiasi momento i seguenti diritti:

  1. Diritto di accesso (art. 15): ottenere conferma che sia in corso un trattamento dei propri dati e accedere alle informazioni relative;
  2. Diritto di rettifica (art. 16): ottenere la correzione dei dati inesatti o l'integrazione di quelli incompleti;
  3. Diritto alla cancellazione (art. 17, "diritto all'oblio"): ottenere la cancellazione dei propri dati, nei casi previsti dalla legge;
  4. Diritto alla limitazione del trattamento (art. 18): ottenere la sospensione del trattamento in determinate circostanze;
  5. Diritto di opposizione (art. 21): opporsi al trattamento basato su legittimo interesse, salvo motivi legittimi prevalenti del Titolare;
  6. Diritto alla portabilità dei dati (art. 20): ricevere i propri dati in formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad altro Titolare, ove tecnicamente possibile;
  7. Diritto di revoca del consenso: ove il trattamento sia basato sul consenso, l'interessato può revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento effettuato prima della revoca;
  8. Diritto di proporre reclamo (art. 77): proporre reclamo al Garante per la Protezione dei Dati Personali (www.garanteprivacy.it) o all'Autorità di controllo dello Stato membro in cui risiede abitualmente.

Il Titolare non adotta processi decisionali interamente automatizzati (ex art. 22 GDPR) che producano effetti giuridici o incidano significativamente sulla persona.

12. Modalità di esercizio dei diritti

Per esercitare i propri diritti o per ottenere qualsiasi chiarimento in merito al trattamento dei dati personali, l'interessato può contattare il Titolare tramite:

E-mail: info@rgpdmanager.it

Il Titolare risponderà alle richieste entro 30 giorni dal ricevimento, eventualmente prorogabili di ulteriori due mesi in ragione della complessità della richiesta, dandone comunque tempestiva comunicazione all'interessato.

13. Sub-responsabili del trattamento (art. 28 GDPR)

Per l'erogazione dei servizi, il Titolare si avvale di fornitori terzi designati quali Sub-responsabili del trattamento. Le principali categorie di sub-responsabili sono:

  • Fornitori di infrastruttura cloud (es. hosting, database, storage);
  • Fornitori di servizi di monitoraggio e sicurezza informatica;
  • Fornitori di servizi di backup e disaster recovery.

L'elenco completo e aggiornato dei sub-responsabili è disponibile su richiesta scritta da inviare all'indirizzo email: info@rgpdmanager.it

Il Titolare si impegna a:

  • selezionare solo sub-responsabili che offrono garanzie sufficienti di sicurezza e conformità;
  • stipulare con essi accordi scritti che ne disciplinino i compiti, gli obblighi e i limiti di trattamento;
  • monitorare costantemente le prestazioni e la conformità dei sub-responsabili.

14. Modifiche alla presente informativa

Il Titolare si riserva il diritto di modificare o aggiornare la presente informativa in qualsiasi momento, anche per adeguarla a modifiche normative o giurisprudenziali, variazioni organizzative o tecniche della piattaforma, evoluzioni dei servizi offerti.

La versione aggiornata sarà resa disponibile sul sito web all'indirizzo rgpdmanager.it e all'interno della piattaforma RGPD manager. Si invita l'utente a consultare periodicamente la presente informativa per prendere visione di eventuali aggiornamenti. Le modifiche avranno effetto dalla data di pubblicazione.

Data ultimo aggiornamento: 18/06/2026

GDPR compliant Art. 13-14 GDPR